githubtoplanguages: Command Injection via Issue Title in Discord Notification Workflow — GHSA-C3XH-98XP-6QHF
GitHub · GitHub · GHSA-C3XH-98XP-6QHF
ID
GHSA-C3XH-98XP-6QHF
GHSA-C3XH-98XP-6QHF
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
high
high
CVSS
7.1
7.1
Résumé
### Summary A GitHub Actions workflow is vulnerable to command injection through the issue title. The workflow is triggered when an issue is opened or closed, and it directly inserts `github.event.issue.title` into a Bash variable assignment. If an issue title contains command substitution syntax, Bash evaluates it during the workflow run. ### Details The vulnerable workflow is:…
Produit
actions: gouef/githubtoplanguages
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.